Защита от взлома через службу FTP

[__guest__ 0]

Доброе время суток. Имеется Windows SRV 2003 STD R2 SP2, просматривая события в журналах, обнаружил неприятную вещь: мой сервак путаются взломать, идет перебор паролей/логинов через службу FTP - несколько десятков тысяч таких вот событий:

Тип события: Предупреждение

Источник события: MSFTPSVC

Категория события: Отсутствует

Код события: 100

Дата: 20.02.2010

Время: 10:54:19

Пользователь: Н/Д

Компьютер: NS

Описание:

Не удалось выполнить вход на сервер с учетной записью Windows NT 'Administrator' из-за следующей ошибки: Вход в систему не произведен: имя пользователя или пароль не опознаны. Данные содержат код ошибки.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Данные:

0000: 2e 05 00 00 ....

В данный момент стоит Антивирус Касперского для Windows File Servers, сейчас ищу решения для защиты моего сервера (на котором крутятся Почта, DNS-сервер, VPN, Прокси, Шлюз). Заинтересовался продуктами Симантека - качнул пробную версию Symantec Endpoint Protection, установил Symantec Endpoint Protection Manager на клон моего сервера, через Manager развернул клиента, обновил базы, проверил что все модули, политики включены, и начал тестить: с другого компьютера пытаюсь залогиниться на сервер с Симантеком по FTP с заведомо неверным логином или паролем, делая примерно 100-150 попыток в минуту. Но Симантек не воспринимает мои действия как атаку - и естественно не блокирует атакующий комп. Копание в справке Симантека, интернете, на форуме Симантека (создал тему: https://www-secure.symantec.com/connect/for...omment-3640351) дало следующее: в SEP'е есть модуль предотвращения вторжений по сети, который вторжения предотвращает на основе сигнатур, и (как сказали в справке Симантека) если нет нужных сигнатур, можно создать собстенную, привинтуть ее к политике предотвращения вторжений в Symantec Endpoint Protection Manager, который рулит клиентом, и все будет хорошо. Загвоздка в том что создать эту сигнатуру не могу - встроенная справка Симантека очень на этот счет скудная, в инете ничего не нарыл, на англоязычном форуме пока молчат. Вопрос следующий: кто знает как создать нужную мне сигнатуру, может сделает ее, если не сложно , или может кто знает другой путь решения моей проблемы, может какой другой продукт нужно использовать. Если подитожить: мне нужна система для защиты моего сервака с вышеукзанными сервисами на нем, которая может блокировать комп по IP который пытается хотя бы 10 раз в минуту залогиниться на FTP с неправильным логином/паролем.

Очень надеюсь на помощь на вашем форуме ( мне его посоветовали в представительстве Симантека). Если результат будет отрицательный, наверно придется искать решения у других вендоров, а так охота Симантека внедрить - вроде нравится.

[Кирилл Керценбаум 671]

__guest__ SEP с описанной вами задачи не справится, IPS встроенный в него не совсем предназначен для например блокировки попыток перебора пароля, он блокирует сетевые пакеты которые содержат признаки использования уязвимостей, предотвращает сканирование портов и т.д. Вашу проблему можно решить либо с помощью правила фаервола например запрещающего доступ к этому серверу из вне по определенным портам, либо могу посоветовать посмотреть на Symantec Critical System Protection, он в том числе защищает от попыток подбора пароля, но это не антивирус, а профессиональная система IPS/IDS, которая может использоваться как дополнение к АВ продукту

[__guest__ 0]

Кирилл, качаю продукт. Про тему не забывайте, по результатам отпишусь.

[__guest__ 0]

Кирилл, здравстуйте, что-то не могу в этот Critical System Protection настроить политику как мне нужно: Создаю пустую политику, в опциях в Network Controls снимаю галку "Globally set the default inbound rules to deny" - в комп по сети можно зайти, а вот к FTP-доступа вообще нет - хотя в разделе IIS Information Services поставил галку "Enable Access to FTP-related resources" но все равно при попытке зайти на FTP даже до запроса логина/пароля дело не доходит - "Сброшено подключение к серверу". Понимаю что где-то еще что-то запрещающее стоит, но вроде все перерыл. Не подскажете в каком разделе в политке поставить чтобы доступ к FTP был, но чтобы атакующий комп блокировался?

[__guest__ 0]

Вроде нашел в разделе "Internet Information Services" -> "Network Controls" -> еще какой-то пункт (тачку уже вырубил, смотреть неохота) прописал 21 порт, и поставил "Allow". Да вот только опять та же проблема Critical System Protection не "видит", когда я пытаюсь подобрать пароли на FTP- и соответсвтенно ничего не предпринимает. Не подскажете как настроить?

[Pavel Polyanskiy 65]

guest, добрый день!

Я работал когда-то с этим продуктом, самый лучший способ заблокировать что-либо, это вначале отследить.

И с этого рекомендуется начинать работу с SCSP - именно отслеживать, а потом уже блокировать.

SCSP может отслеживать все попытки лоигна в систему и может предоставить детальную информацию об этом.

Для этого нужно лишь включить так называемый "Detection Mode" (вв вкладке Detection Policies) и настроить его на "detect logоn attempts", т.е. фиксирование всех попыток входа в систему.

После этого можно еще подкрутить немного политику и настроить так, что на сервер смогут заходить только доверенные пользователи, а все остальные попытки будут блокироваться.

[Ego1st 95]

Лучший способ оградить фтп от таких атак, это поставить нормальный фтп сервер с обычной возможностью блокировки после 3-5 попыток неправильного ввода, идс\ипс не поможет если будут использоваться прокси=)